Passwörter übertragen

Sockets, TCP/IP, (XML-)RPC und ähnliche Themen gehören in dieses Forum
Sirius3
User
Beiträge: 17710
Registriert: Sonntag 21. Oktober 2012, 17:20

@BlackJack: wenn Du einen richtig gesalzenen Hash des Passwortes überträgst [eigentlich hash(salz2+hash(salz1+passwort))] dann hat man tatsächlich Einmalpasswörter die nicht wiederverwendet werden können.
Bodyslam
User
Beiträge: 14
Registriert: Montag 1. Juli 2013, 10:41

Für mich ist momentan die Frage wie ich ein ordentlichen Login implementiere, sessions und cookies verwalten ja letzendlich nur bestehende Daten, also ist für mich die Frage wie bekomme ich eine Anmeldung so hin, dass sie "sicher" ist. Ich habe jetzt hier viele Themen gelesen, davon wie es jens, DefNull, Gerold sehen, aber wie bekomme ich ein PW von Browser zum Server( und bei einer Anmeldung zurück, wobei dass dann wohl wieder etwas anderes ist). Gibt es da ein Modul, oder weiss vielleich jmd ob es da etwas bei Cherrypy gibt, was ich übersehen habe? Eine dynamische Seite ohne ordentliche Userverwaltung ist meiner Ansicht nach sinnlos.
BlackJack

@Sirius3: Das macht die Sache aber nur ein bisschen komplizierter. Voraussetzung ist ja wir vertrauen HTTPS nicht weil sich da jemand dazwischen schalten könnte. Das heisst der JavaScript-Code, der das eingegebene Passwort beim Client verarbeitet, ist auch nicht vertrauenswürdig. Ich denke vom praktischen Standpunkt vertraut man HTTPS, und dem Anwender ein wenig Hirnschmalz zu, oder man kann es vergessen.
Sirius3
User
Beiträge: 17710
Registriert: Sonntag 21. Oktober 2012, 17:20

@BlackJack: Beim Salzen vertraue ich ja gerade nicht auf den Client-Code, sondern der Server überprüft, ob schon jemand anderes versucht hat, sich mit der selben Session einzuloggen. Das heißt also, finde ich irgendwo einen gesalzenes Passwort kann ich damit nichts anfangen. Dass ich direkt am Client das Passwort (u.U. mit Hilfe eines Keyloggers) abgreifen kann, dagegen gibt es kein Mittel.
BlackJack

@Sirius3: Das verstehe ich jetzt nicht? Der Man in the middle kann doch das Klartextpasswort abgreifen und aus Sicht des Servers alles machen was der erwartet.
Leonidas
Python-Forum Veteran
Beiträge: 16025
Registriert: Freitag 20. Juni 2003, 16:30
Kontaktdaten:

Ich würde, wenn ich die Cookies setze noch weitere Attribute wie secure (damit das Cookie nicht aus versehen über HTTP läuft) sowie HttpOnly setzen.
My god, it's full of CARs! | Leonidasvoice vs (former) Modvoice
Antworten